投稿日:2002年07月01日 作成鷹の巣

No.3959 Windows版snortが動作しない。winpcapの問題?



Windows版snortが動作しない。winpcapの問題?

No.3959 投稿時間:2002年07月01日(Mon) 03:33 投稿者名:F URL:

再々申し訳ないです。snort185win32を使用したいと考えているのですが

Initializing Network Interface
ERROR: OpenPcap() device open:
Error opening adapter
Fatal Error, Quitting..

となってデバイスを認識してくれません。
windows2000server,windowsXPpro共に同じ現象です。

また、windows2000serverにはNICが2枚ささっているのですが、
-i2オプションで2枚目のNICを使用しようとしても"Invalid Adapter"と
存在していないかような事を言われます。nmapNTも同様の現象で動作してくれません。
なぜかwindumpだけは正常に動作するようです。

どなたかわかる方いらっしゃれば解決法お教えください。


snortは、1.7ではありませんか?

No.3969 投稿時間:2002年07月01日(Mon) 21:47 投稿者名:鷹の巣 URL:http://sakauch.com/

> 再々申し訳ないです。snort185win32を使用したいと考えているのですが


snortは、1.7ではありませんか?snort185win32のURLを教えて下さい。
snort
http://www.datanerds.net/~mike/snort.html

Standard snort-1.7-win32 Binary:
http://download.datanerds.net/binaries/snort-1.7-win32-static.zip

最初は、snort.panel
http://www.xato.net/files.htm
をご使用されることを推奨します。


> Initializing Network Interface
> ERROR: OpenPcap() device open:
> Error opening adapter
> Fatal Error, Quitting..
>
> となってデバイスを認識してくれません。
> windows2000server,windowsXPpro共に同じ現象です。


あまり関係ないかも知れませんが、ここ
http://catnap.virtualave.net/Diary/Diary-0110.html
の2001/10/30(火)の日誌をご一読願います。


> また、windows2000serverにはNICが2枚ささっているのですが、
> -i2オプションで2枚目のNICを使用しようとしても"Invalid Adapter"と
> 存在していないかような事を言われます。nmapNTも同様の現象で動作してくれません。> なぜかwindumpだけは正常に動作するようです。



私の環境(windows 2000 Professional 最新Update)では、NICが2枚という状態を試せませんが、以下の様な結果となりました。

1.WinPcap: the Free Packet Capture Architecture for Windows 95/98/ME/NT/2000/XP
http://winpcap.polito.it/install/default.htm
を下記より入手。
WinPcap 2.3 download
http://winpcap.polito.it/install/bin/WinPcap_2_3.exe

2.WinDump: tcpdump for Windows version 3.6.2(Windows 95/98/ME/NT/2000/XP)
http://windump.polito.it/
を下記より入手。
WinDump 3.6.2 download
http://windump.polito.it/install/bin/WinDump.exe
正常動作を確認。

3.WIN32 port of snort
http://www.datanerds.net/~mike/snort.html
を下記より入手。
Standard snort-1.7-win32 Binary:
http://download.datanerds.net/binaries/snort-1.7-win32-static.zip
snort.panel( http://www.xato.net/files.htm )を使用し、
snort.confを何も設定せずに正常動作を確認。(snortfull.confの入手先が不明の為)
4.nmapNTsp1
http://www.eeye.com/html/Research/Tools/nmapnt.html
を下記より入手。
http://www.eeye.com/html/Research/Tools/nmapnt/nmapNTsp1.zip

ドライバが違うか実行権限の為だと思いますが、ICMPパケットしか使用出来ませんでした。
(以前は使用できたのですが、今回時間がないので、追求していません。)

下記のサイトをご参考にして下さい。
http://www.port139.co.jp/ntsec_snort.htm
但し、多少内容が古いので、注意して下さい。
(WinPcapは、OS自動識別のMSIインストールで、ローカル エリア接続のプロパティに表示されません。インストール時、MSIサービスが「開始」されていることが必要です。
snortfull.confの入手先がリンク切れ等)


# ここまで、徹底的にネットワークツールを試されるとは、ご立派です。
# Web上に資料が少ないので、インストール方法と設定方法のご公開を切に望みます。


snort-1.7でもインターフェースを認識していないようです。

No.3976 投稿時間:2002年07月02日(Tue) 03:23 投稿者名:F URL:

詳細なレス、ありがとうございます。

> snortは、1.7ではありませんか?snort185win32のURLを教えて下さい。

ここにありました。
http://www.snort.org/dl/binaries/
idscenterも同梱されているようです。ベータのようですが。

> あまり関係ないかも知れませんが、ここ
> http://catnap.virtualave.net/Diary/Diary-0110.html
> の2001/10/30(火)の日誌をご一読願います。

最近入れたもので、winpcap2.2(ネットワークのプロパティから
インストールするタイプ?)はインストールしたことないです。
winpcap2.3しかもっておりませんです。

> 3.WIN32 port of snort
> http://www.datanerds.net/~mike/snort.html
> を下記より入手。
> Standard snort-1.7-win32 Binary:
> http://download.datanerds.net/binaries/snort-1.7-win32-static.zip
> snort.panel( http://www.xato.net/files.htm )を使用し、
> snort.confを何も設定せずに正常動作を確認。(snortfull.confの入手先が不明の為)

1.7を使用して同様にやってみましたが、やはりインターフェースを認識していないようです。

> 4.nmapNTsp1
> http://www.eeye.com/html/Research/Tools/nmapnt.html
> を下記より入手。
> http://www.eeye.com/html/Research/Tools/nmapnt/nmapNTsp1.zip
>
> ドライバが違うか実行権限の為だと思いますが、ICMPパケットしか使用出来ませんでした。
> (以前は使用できたのですが、今回時間がないので、追求していません。)

実行しても、
WARNING: Could not determine what interface to route packets through to XX.XXX.XXX.XXX, changing ping scantype to ICMP only.
といわれてしまい、どうもpingスキャンしかしてくれないようです。
しかも、pingでもホストからの応答がない、といわれてしまいます。
もちろん対象ホストは通常のpingには反応しています。

windows2000は、SP2+SRP1とwindowsupdateで得られる重要な更新すべて、を導入している状態です。
アダプタは、WindowsXP機がMELCO LGY-PCI-TXL,Windows2000server機がMELCO LGY-PCI-TXCとIntel PRO/100S を搭載しています。
アダプタやドライバが不適合なのでしょうかね?


私のサイトに対して、nmapNTで、ポートスキャンして見て下さい。

No.3977 投稿時間:2002年07月02日(Tue) 09:04 投稿者名:鷹の巣 URL:http://sakauch.com/

> ここにありました。
> http://www.snort.org/dl/binaries/
> idscenterも同梱されているようです。ベータのようですが。


わかりました。


> > あまり関係ないかも知れませんが、ここ
> > http://catnap.virtualave.net/Diary/Diary-0110.html
> > の2001/10/30(火)の日誌をご一読願います。
>
> 最近入れたもので、winpcap2.2(ネットワークのプロパティから
> インストールするタイプ?)はインストールしたことないです。
> winpcap2.3しかもっておりませんです。


ここ
http://snort.rapidnet.com/discussions/topic.asp?TOPIC_ID=128
にも書いてありますが、winpcap2.3で、必ず動作します。
MSIサービスが稼動している状態で、winpcap2.3をインストールし、再起動されましたか?


> > 4.nmapNTsp1
> > ドライバが違うか実行権限の為だと思いますが、ICMPパケットしか使用出来ませんでした。
> > (以前は使用できたのですが、今回時間がないので、追求していません。)
>
> 実行しても、
> WARNING: Could not determine what interface to route packets through to XX.XXX.XXX.XXX, changing ping scantype to ICMP only.
> といわれてしまい、どうもpingスキャンしかしてくれないようです。
> しかも、pingでもホストからの応答がない、といわれてしまいます。
> もちろん対象ホストは通常のpingには反応しています。


「ICMPパケットしか使用出来ませんでした。」と「ICMP only」は、同意です。 私も同じWARNING Messageが出ました。

「ドライバが違うか」という意味は、winpcap2.3からインストールした下記のダイナミックリンクライブラリとドライバファイル
C:\WINNT\SYSTEM\packet.dll(61,440バイト)
C:\WINNT\SYSTEM\drivers\packet.sys(10,851バイト)
が、nmapNTsp1.zipから展開した下記のファイルと異なるということです。
~\Nmapnt\DRIVERS\Pacek2k\Packet.dll(32,768バイト)
~\Nmapnt\DRIVERS\Pacek2k\PACKET.SYS(10,851バイト)
~\Nmapnt\DRIVERS\Pacek2k\Packet_2k.inf(3,046バイト)<---右クリックして、インストールをクリックしましたが、レジストリに書き込めません。winpcapを使用すべきだと考えました。

nmapNTのサイトのトップページ
http://www.eeye.com/html/Research/Tools/nmapnt.html
に書いてありますが、以下引用しますと、
Known Bugs:
1. Doesn't work on RAS devices (i.e. dial-up connections) because of a limitation with the NDIS driver. No set date for a fix.
2. Doesn't scan local IP address because of a problem with the NDIS driver in use. A fix for this should be coming soon but for now try out good ol netstat -A.
3. Interactive mode does not work correctly. No set date to fix this. Not really a big deal.

local IP addressや自サイトのグローバルアドレスで、試せません。
もし、良かったら、私のサイト(sakaguch.com)に対して、nmapNTで、ポートスキャンして見て下さい。


> アダプタは、WindowsXP機がMELCO LGY-PCI-TXL,Windows2000server機がMELCO LGY-PCI-TXCとIntel PRO/100S を搭載しています。
> アダプタやドライバが不適合なのでしょうかね?


少なくともIntelのアダプタやドライバが不適合ということはないと考えます。


winpcap2.3のインストーラでインストールしたものはファイル構成が違うようです。

No.3990 投稿時間:2002年07月03日(Wed) 01:15 投稿者名:F URL:

> 「ドライバが違うか」という意味は、winpcap2.3からインストールした下記のダイナミックリンクライブラリとドライバファイル
> C:\WINNT\SYSTEM\packet.dll(61,440バイト)
> C:\WINNT\SYSTEM\drivers\packet.sys(10,851バイト)
> が、nmapNTsp1.zipから展開した下記のファイルと異なるということです。
> ~\Nmapnt\DRIVERS\Pacek2k\Packet.dll(32,768バイト)
> ~\Nmapnt\DRIVERS\Pacek2k\PACKET.SYS(10,851バイト)
> ~\Nmapnt\DRIVERS\Pacek2k\Packet_2k.inf(3,046バイト)<---右クリックして、インストールをクリックしましたが、レジストリに書き込めません。winpcapを使用すべきだと考えました。

MSIサービスとは、"Windows Installer"サービスと表記されているものですか?
それを起動してインストールしてみましたが状況は同じです。
なぜかうちではwinpcap2.3のインストーラでインストールしたものはファイル構成が違うようです。
C:\WINNT\system32\packet.dll(61,440バイト)
C:\WINNT\system32\wpcap.dll(151,552バイト)
C:\WINNT\system32\drivers\npf.sys(14,448バイト)
となっています。


snortは、間違いなく動作するはずですけど。

No.3993 投稿時間:2002年07月03日(Wed) 08:41 投稿者名:鷹の巣 URL:http://sakauch.com/

> MSIサービスとは、"Windows Installer"サービスと表記されているものですか?


はい、そうです。


> それを起動してインストールしてみましたが状況は同じです。
> なぜかうちではwinpcap2.3のインストーラでインストールしたものはファイル構成が違うようです。
> C:\WINNT\system32\packet.dll(61,440バイト)
> C:\WINNT\system32\wpcap.dll(151,552バイト)
> C:\WINNT\system32\drivers\npf.sys(14,448バイト)
> となっています。


私も上記と同じファイルがあります。従って、snortは、間違いなく動作するはずですけど。
私が言いたかったのは、nmapNTのwindows2000用として、用意されているドライバが、winpcap2.3でインストール後の状態でのドライバと
異なるということです。私のサイトから、ポートスキャン可能な適当な他サイトがないので、今現在は、試せません。

# 私のサイトにnmapNTで、ポートスキャンした結果もICMPパケットしか使用出来なかったでしょうか?
# (LAN内のプライベートアドレスへのポートスキャンは、NT版は、出来ないということになっていますので。)


snort,nmapNT共動きません。

No.4019 投稿時間:2002年07月05日(Fri) 15:53 投稿者名:F URL:

> > MSIサービスとは、"Windows Installer"サービスと表記されているものですか?
>
>
> はい、そうです。
>
>
> > それを起動してインストールしてみましたが状況は同じです。
> > なぜかうちではwinpcap2.3のインストーラでインストールしたものはファイル構成が違うようです。
> > C:\WINNT\system32\packet.dll(61,440バイト)
> > C:\WINNT\system32\wpcap.dll(151,552バイト)
> > C:\WINNT\system32\drivers\npf.sys(14,448バイト)
> > となっています。
>
>
> 私も上記と同じファイルがあります。従って、snortは、間違いなく動作するはずですけど。
> 私が言いたかったのは、nmapNTのwindows2000用として、用意されているドライバが、winpcap2.3でインストール後の状態でのドライバと
> 異なるということです。私のサイトから、ポートスキャン可能な適当な他サイトがないので、今現在は、試せません。
>
> # 私のサイトにnmapNTで、ポートスキャンした結果もICMPパケットしか使用出来なかったでしょうか?
> # (LAN内のプライベートアドレスへのポートスキャンは、NT版は、出来ないということになっていますので。)

やっぱりどうしても動かないようです。(snort,nmapNT共)
nmapNTに関しては教えていただいたアドレスに打ってみましたが
ICMP onlyになるうえに、返事が無いというようです。
外部の適当な大手サイトにpingモードで打ってみても無いと言い張るので
やはりwinpcapが完全に動いていないようです。

ハード構成かなにかがおかしいのかもしれません。
また時間があればいろいろ調べてみようかとおもいます。
もし挫折することなく動作までこぎつけられれば報告させていただきます。


|目次|掲示板|過去ログ目次|▲頁先頭|